LINUX.ORG.RU

Вышел grsecurity 2.1.11

 ,


0

0

grsecurity -- это патч для ядра Linux, реализующий ролевой контроль доступа (RBAC), а также улучшающий традиционную *NIX модель безопасности (DAC). grsecurity основан на PaX. PaX -- это патч для ядра Linux, улучшающий защиту памяти за счет более полного использования возможностей современных (и не очень) процессоров. Большинство атак, основанных на переполнении буфера и/или кучи, на патченых ядрах не работает.

Нововведений практически нет, в основном исправления ошибок в PaX и RBAC. Поддерживаются ядра 2.6.24.4 и 2.4.36.2.

В силу известного количества изменений в 2.6 ядре одно только сопровождение патчей, тем более, таких низкоуровневых, как PaX, требует огромного количества работы. Потому разработчики планируют прекратить поддержку основной ветки 2.6 ядер и вместо этого переключиться на какую-нибудь достаточно стабильную ветку, к примеру, Ubuntu LTS.

Оригинал (на английском языке): http://www.grsecurity.net/news.php#gr...

>>> Собственно патч

★★★

Проверено: Shaman007 ()

> В силу известного количества изменений в 2.6 ядре одно только
> сопровождение патчей, тем более, таких низкоуровневых, как PaX,
> требует огромного количества работы. Потому разработчики планируют
> прекратить поддержку основной ветки 2.6 ядер и вместо этого
> переключиться на какую-нибудь достаточно стабильную ветку, к примеру,
> Ubuntu LTS.

так и слышится "достало уже, ну сколько можно ломать безоглядно", на который следует хладнокровный stable api nonsense

интересный тренд намечается, и как на него отреагируют драйверописатели?

Tester ★★★
()

>улучшающий защиту памяти за счет более полного возможностей современных (и не очень) процессоров.

За счет более полного чего?

madcore ★★★★★
()
Ответ на: комментарий от madcore

> > улучшающий защиту памяти за счет более полного возможностей современных
> > (и не очень) процессоров.

> За счет более полного чего?

Очепятка. Должно быть -- "за счет более полного использования возможностей
современных (и не очень) процессоров."

Я и сам заметил, но слишком поздно. Теперь исправить могут только модераторы.

P.S.

А где вторая ошибка?

Dselect ★★★
() автор топика

Dselect и Shaman007, поделитесь травой, а? :)

anonymous
()
Ответ на: комментарий от Shaman007

> Хоть и минорный релиз,

Не совсем. По сути, многое переписано с нуля (особенно PaX). То, что пользователю
(почти) не видно изменений -- это в данном случае фича, а не баг.

Dselect ★★★
() автор топика
Ответ на: комментарий от Tester

> так и слышится "достало уже, ну сколько можно ломать безоглядно",

И еще -- "достало уже, сколько можно забивать на безопасность".

> на который следует хладнокровный stable api nonsense

> интересный тренд намечается,

Публика, которой нужны вещи вроде grsecurity, по определению очень консервативна.
Поэтому удивительно не то, что прекратили гоняться с linux-2.6, а то, что сделали
это так поздно.

> и как на него отреагируют драйверописатели?

Поживем -- увидим.

Dselect ★★★
() автор топика
Ответ на: комментарий от Messing

> в тексте как минимум 2 речевые ошибки. модераторы хоть

А где вторая?

P.S.

Начало предложения с заглавной буквы пишется, между прочим.

Dselect ★★★
() автор топика

> grsecurity -- это патч ... основан на PaX. PaX -- это патч

Патч на патч...

anonymous
()

> Потому разработчики планируют прекратить поддержку основной ветки 2.6 ядер и вместо этого переключиться на какую-нибудь достаточно стабильную ветку, к примеру, Ubuntu LTS.

А уже есть такая ветка ядра??? O_O

anonymous
()

Может кто-нибудь объяснить кому и зачем это вообще надо? TRUEЪ = off, ссылки приветствуются.

anonymous
()
Ответ на: комментарий от anonymous

> Может кто-нибудь объяснить кому и зачем это вообще надо? TRUEЪ = off, ссылки приветствуются.

Ссылка есть в новости. Возможно надо делать captchи такие чтобы ответить на них можно было только зная что написано по ссылке.

szh ★★★★
()

> и вместо этого переключиться на какую-нибудь достаточно стабильную ветку, к примеру, Ubuntu LTS.

Ахренеть, пахнет трендом, что драйвера начнут выпускать не вообще для линукс, но только для конкретного дистра.

anonymous
()
Ответ на: комментарий от anonymous

Не пахнет, все приличные конторы рвутся с драйверами в upstream, правда не все попадают. И у grsecurity потребности не те что у драйверов.

szh ★★★★
()
Ответ на: комментарий от anonymous

просто люди, которые делают grsecurity, думают о том, что они выпускают и хотят дать какие-то гарантии. И они говорят о том, что при нынешнем темпе развития ядра сложно говорить о какой-то безопасности, когда новый код вливается мегабайтами. Поэтому толку гнаться за новыми ядрами - нет. В рассылке сказано, что им придётся либо вообще забить на 2.6, либо остановиться на каком-то одном, в качестве примера - бубунтовское. Они ещё не решили, ждут что скажут пользователи. Кто-то уже считает что надо поддерживать RHEL, дистрибутивостроители хотят патч на ваниллу...

deadman ★★
()
Ответ на: комментарий от anonymous

> Может кто-нибудь объяснить кому и зачем это вообще надо?

Я понимаю, по ссылкам ходить -- не барское это дело. Но ведь для особо
одаренных по-простому написано:

"Большинство атак, основанных на переполнении буфера и/или кучи, на патченых
ядрах не работает."

Dselect ★★★
() автор топика
Ответ на: комментарий от anonymous

> Ахренеть, пахнет трендом, что драйвера начнут выпускать не вообще для линукс,
> но только для конкретного дистра.

Ситуация с PaX несколько другая.

Во-первых, сопровождать "левый" (out-of-tree) драйвер куда проще. Не нужно
копаться в mm/arch/*, fs/*, и т.п.

Во-вторых, Линус & Co принимают драйверы в основную ветку на довольно таки
свободных условиях (имеются в виду технические вопросы, а не юридические),
даже если их качество оставляет желать лучшего. Но упорно сопротивляются
принимать патчи, которые 1) усложняют код, 2) хоть сколько-то уменьшают
производительность, 3) просто не нравятся Линусу или еще какой-то большой
шишке. Объяснить этой публике, что безопасность и надежность важнее, а
вкусы -- это дело сугубо личное, не удается.

И пользователи, повторюсь, куда более консервативны.

Потому поддержка только стабильной ветки (не важно, какой именно) -- ход
логичный.

Dselect ★★★
() автор топика
Ответ на: комментарий от zloy_starper

> Я что-то так и не понял, на поддержку какой ветки хотят переключиться
> разработчики?

Вопрос пока не решен окончательно.

Dselect ★★★
() автор топика

> В силу известного количества изменений в 2.6 ядре одно только сопровождение
> патчей, тем более, таких низкоуровневых, как PaX, требует огромного количества
> работы. Потому разработчики планируют прекратить поддержку основной ветки 2.6 ядер
> и вместо этого переключиться на какую-нибудь достаточно стабильную ветку

Вообще-то, это очень грустно. Так как и от grsecurity отказываться не хочется, и новые ядрёные фичи, типа недавнего mount -o bind,ro , тоже нужны.

anonymous
()

> Потому разработчики планируют прекратить поддержку основной ветки 2.6 ядер и вместо этого переключиться на какую-нибудь достаточно стабильную ветку, к примеру, Ubuntu LTS.

Отлично, особенно если это будет действительно Ubuntu. Может тогда RedHat + Ubuntu + SuSE договорятся и сделают общее "стабильное" ядро. Чтобы не гоняться за ванолой !!!

anonymous
()
Ответ на: комментарий от Dselect

в 25/26 ядре появится наконец то поддержка domO. не вовремя они решили прекратить патчить новые ядра ;(

zort
()
Ответ на: комментарий от Dselect

По сабжу - новость хорошая.

>В силу известного количества изменений в 2.6 ядре одно только сопровождение патчей, тем более, таких низкоуровневых, как PaX, требует огромного количества работы. Потому разработчики планируют прекратить поддержку основной ветки 2.6 ядер и вместо этого переключиться на какую-нибудь достаточно стабильную ветку, к примеру, Ubuntu LTS.

Очень прискорбно.

>Во-вторых, Линус & Co принимают драйверы в основную ветку на довольно таки свободных условиях (имеются в виду технические вопросы, а не юридические), даже если их качество оставляет желать лучшего. Но упорно сопротивляются принимать патчи, которые 1) усложняют код, 2) хоть сколько-то уменьшают производительность, 3) просто не нравятся Линусу или еще какой-то большой шишке. Объяснить этой публике, что безопасность и надежность важнее, а вкусы -- это дело сугубо личное, не удается.

1. Линуса развитие ядра, как я понял с последних его интервью - мало интересует, всё что ему было интересно он уже реализовал. Безопасность очень важна! Может по спамить в кернел девелоп чтобы grsec вместе с PAX наконец то включили в ванилу! Сами их разработчики говорили что когда-то это произойдёт.

2. Может когда ресурсов не хватает разработчикам grsecurity стоит поддерживать хотя бы чётные минорные версии ядра?!

3. Есть дистры основанные на этом ядре hardened-gentoo, adamantix-debian (последний кажись в анабиозе), ... целесообразно их ядра поддерживать.

hse
()
Ответ на: комментарий от anonymous

>Может тогда RedHat + Ubuntu + SuSE договорятся и сделают общее "стабильное" ядро. Чтобы не гоняться за ванолой !!!

Само ядро мало, надо ещё минимум компилятор gcc с поддержкой pie, ssp и пару утилит. Ну и пересобрать ВСЕ пакеты как hardened систему. Для этого есть только инфраструктура в Gentoo и возможно осталось немного в Debian-Adamantix. Коммерческие дистры RedHat SuSE и тем более Ubuntu не будут сим заморачеватса их цель максимальная личьная прибыль, а не максимальная безопасность пользователя. Вот RedHat даже десктоп не хочет тянуть, в тягость видители им, а ты говоришь о hardened системе...

hse
()

Если они не будут поддерживать ванильное ядро, то проект умрет как проект. Ну или их не включат в mainline.

Короче, это отвратительно.

anonymous
()
Ответ на: комментарий от anonymous

> Отлично, особенно если это будет действительно Ubuntu. Может тогда RedHat + Ubuntu + SuSE договорятся и сделают общее "стабильное" ядро. Чтобы не гоняться за ванолой !!! Чем тебе 2.6.18+1500патчей из RHEL5 не "стабильное" ? Ставь его и сиди 5 лет на стабильном :)

szh ★★★★
()
Ответ на: комментарий от hse

Life is too short for kernel upgrades

> 2. Может когда ресурсов не хватает разработчикам grsecurity стоит
> поддерживать хотя бы чётные минорные версии ядра?!

А смысл? Под каждую версию приходится переписывать с нуля PaX. При этом
неизбежно появляется куча ошибок, и заодно проявляются ошибки самого vanilla
ядра (которые по "счастливой" случайности никто не словил и не написал на
них exploit). Пока эти ошибки отловят и поправят, выйдет очередная версия
(а то и две), в которой еще что-то сломают. И все начинается заново.


Dselect ★★★
() автор топика
Ответ на: комментарий от anonymous

> Если они не будут поддерживать ванильное ядро, то проект умрет как проект.

С точностью до наоборот. Попытка гоняться за mainline едва не погубила проект.

Dselect ★★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.